Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Атака MarioNet может создавать ботнеты из браузеров

27/02/19

botnetСпециалисты Научно-исследовательского центра FORTH (Греция) и Университета штата Нью-Йорк в Стоуни Брук (США) представили новый метод атаки под названием MarioNet, позволяющий создавать ботнеты из браузеров, поскольку вредоносный код атакующих выполняется даже в том случае, если пользователь покинул или закрыл вредоносную web-страницу.

MarioNet представляет собой усовершенствованную версию описанной еще 12 лет назад концепции Puppetnets , также предлагавшей возможность формировать ботнет из браузеров. Отличие между двумя методами заключается в том, что MarioNet может использоваться даже в тех случаях, когда пользователь закрыл вкладку или покинул вредоносный сайт.

Метод основан на эксплуатации API Service Workers (преемник API Web Workers), реализованном в современных браузерах. Service Worker - скрипт, который браузер запускает в фоновом режиме, отдельно от страницы, открывая дверь для возможностей, не требующих web-страницы или взаимодействия с пользователем. По сути, атака сводится к регистрации «сервис-воркера» при посещении пользователем подконтрольного злоумышленнику сайта, и эксплуатации интерфейса Service Worker SyncManager для продолжения работы скрипта после того, как пользователь покинет ресурс.

Атака происходит незаметно и не требует взаимодействия с пользователем, поскольку браузер не выдает уведомления и не требует разрешения перед регистрацией «сервис-воркера». Кроме того, атаку MarioNet можно разделить, например, злоумышленники могут инфицировать браузеры пользователей, посетивших сайт A, а контролировать «сервис-воркеры» с другого сервера. Таким образом атакующие могут на короткое время внедрить вредоносный код на сайты с высокой посещаемостью, заразить браузеры, удалить код с ресурсов и продолжать контролировать браузеры с другого сервера.

MarioNet может «пережить» перезапуск браузера, эксплуатируя Web Push API, однако для этого атакующему понадобится получить разрешение пользователя для доступа к данному интерфейсу.

Как отмечают исследователи, ботнет из браузеров может использоваться для различной вредоносной деятельности, в том числе криптоджекинга, проведения DDoS-атак, хранения/распространения вредоносного ПО, создания прокси и пр.

Атака MarioNet работает практически во всех мобильных и десктопных браузерах, за исключением Internet Explorer (версия для ПК), Opera Mini (мобильная версия) и Blackberry (мобильная версия), поскольку они не поддерживают Service Workers.

Темы:Угрозыботнет
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...